操作和安全性

當您遷移至 Amazon OpenSearch Service 時，您的操作活動將會變更。您將不再負責佈建節點、新增儲存體、安裝和修補作業系統、設定和維護高可用性、擴展和其他低階活動。反之，您可以專注於建置您的使用案例和新的使用者體驗。

Amazon OpenSearch Service 提供您需要熟悉的記錄、監控和故障診斷功能，以最佳化您的操作程序。

Runbook 和新程序

在規劃階段，識別需要修改或消除的現有程序。然後，您可以新增過去可能沒有頻寬的新操作程序。

雖然 Amazon OpenSearch Service 消除了未區分的繁重工作，但您仍然需要確保您的應用程式經過設計和監控，以提供最佳的效能。您需要設定網域的監控和提醒，以便完全了解內部或外部因素造成的任何運作狀態問題。您需要排程和啟動升級至最新版本。

所有這類操作活動都需要建立 Runbook 和修改現有的 Runbook。若要監控基礎設施和分析 Amazon OpenSearch Service 中的操作指標，維護 Runbook 至關重要。Runbook 可確保您根據合規和法規要求一致地運作。如果您尚未使用 Runbook，建議您考慮這麼做。建立程序以定期執行預先規劃的步驟，以確保從應用程式當機復原和意外失敗等修復程序完全自動化。

支援和票證系統

若要擷取與您的部署相關的事件，建議您規劃和操作票證系統 （您可能已經在這麼做）。您可能需要培訓支援人員如何使用 AWS Support 建立支援票證。我們建議在票證分類期間簡化呈報程序。

本指南稍後的卓越營運部分將為您提供許多最佳實務和領域的連結，您可能需要在 Runbook 中考慮這些最佳實務和領域，並在其中建置程序。

安全

在 AWS，安全是首要任務。Amazon OpenSearch Service 提供多層安全性。此服務負責處理所有安全修補程式，並透過 VPC、精細存取控制和多租戶支援提供網路隔離。您的資料會使用您透過 AWS Key Management Service (AWS KMS) 建立和控制的金鑰進行靜態加密。node-to-node加密功能為網域中執行個體之間的所有通訊提供 Transport Layer Security (TLS)。Amazon OpenSearch Service 也符合 HIPAA 資格，並符合 PCI DSS、SOC、ISO 和 FedRAMP 標準，協助您符合產業特定或法規要求。

在規劃階段，識別與網域互動的人員和程序、選擇網路拓撲，以及規劃每個主體的身分驗證和授權。根據您的組織安全和合規要求，您可以使用多個安全功能來建立符合您業務需求的環境。此外，請考慮下列因素：

• VPC – 您可以在 AWS 的虛擬私有雲端 (VPC) 內設定 Amazon OpenSearch Service。這是建議的組態。我們不建議建立具有公有端點的網域。規劃建立必要的網路架構，以允許用戶端應用程式和使用者存取目標環境。

• 身分驗證 – Amazon OpenSearch Service 支援多種方式來驗證使用者或軟體用戶端。它支援與您現有的身分提供者進行 Amazon Cognito 或 SAML 身分驗證，以存取 OpenSearch Dashboards。它還提供與 IAM 身分的整合，以及使用內部使用者資料庫進行基本 HTTP 身分驗證。您應該計劃設定和測試適當的身分驗證選項。如需詳細資訊，請參閱 OpenSearch Service 安全文件。

• 授權 – 建議您遵循最低權限原則來設定服務的存取。Amazon OpenSearch Service 提供精細存取控制，協助您在文件、資料列和資料欄層級設定存取權。

熟悉安全功能，並在 PoC 階段進行測試。